安全编码概览

· 安全有哪些层次，哪些代码和安全，

· 什么样的代码，会引起什么样的安全风险

· 如何检测并记录这些代码安全问题

· 如何通过安全的代码，避免这些安全风险，

· 当风险发生的时候，如何处理，

分析软件安全越来越严重的
原因和根源

· 为什么软件安全问题日益增长

· 黑客攻击方式的进化

· 传统的分层保护方案减轻系统的风险

· 为什么传统的基于网络的方案不工作

· 黑客可直接痛过攻击软件达到窃取商业信息和破坏应用系统。

· 演示如何利用软件自身的弱点达到攻击系统。

· 软件需要保护它们自己

· 传统学校关于安全技术的教育

· 软件补丁和软件安全攻击的关系

· 软件安全问题的根源。

风险管理与安全保护

· 风险的定义

· 攻击与威胁的定义

· 安全漏洞的定义

· 应对安全威胁的手段

· 国际安全组织对应用安全的一些法案和规定

Web应用安全开发指导概述

· 安全Web应用的目的

· 安全漏洞与网络、主机和应用软件的关系

· Web应用的安全范围

· Web应用威胁与应对措施概述

· Web应用安全的核心要素

· OWASP对web应用安全的风险规定

· Web应用安全的13条安全编码最佳实践原则概述

Web安全检测方法

· 常见的安全入侵类型

· 安全的检测特征和方法

· 安全检测工具和漏洞描述规范

· 安全的报告视图

编写J2EE Web应用安全代码的最佳实践原则和策略

执行输入验证

· 什么是输入验证

· 为什么输入验证是必要

· 输入来源

· 输入验证漏洞的主要类型及修复建议

· 输入验证技术

· 输入验证总结

· 参考读物

执行输出验证

· 什么是输出验证

· 为什么输出验证是必要

· 何时进行输出验证

· 与输出验证相关的安全漏洞

· 验证输出技术

· 输出验证总结

· 参考读物

错误和失败的安全

· 什么是错误处理

· 为什么错误处理是必要的

· 何时错误处理不起作用

· 预防方法

深度防御

· 深度防范的介绍

· 当只有单层防范时，会发生什么。

· 深度防范如何发挥作用

小心处理敏感数据

· 敏感数据介绍

· 国际标准对敏感数据处理的一些规定

· 安全处理敏感数据的技术

划分或者分组处理用户、
数据和进程

· 划分或者分组介绍

· 数据分离

· 用户分离

· 进程分离

· 划分数据、用户和进程

遵循账户管理策略

· 帐户管理和帐户管理策略

· 账户管理和国际适应性标准

· 帐户管理和遵守标准

· 帐户管理最佳方案

遵循审计和日志策略

· 审计和日志介绍

· 审计和日志最佳实践

实现最小特权原则

· 最小权限原则介绍

· 不遵循最小权限原则的隐患

· 如何实现最小权限原则

保持开发简单的设计

· 隐式安全问题

· 保持设计简单

限制应用的入口点

· 介绍限制应用入口点的介绍

· 攻击面和最小暴露原则

不要自我发明

· 介绍自我发明的概念

· 自我发明的危险

· 如何避免自我发明

不要泄露太多的信息

· 披露多余信息的问题

· 披露敏感信息

· 平衡安全性和可用性

· 攻击者如何利用信息

· 信息披露的常见例子

· 信息最小披露原则

安全编码回顾

· 安全编码原则回顾

· 安全问题列表

· 安全检测方法列表

· 安全防范措施列表